[résolu]pagaille sur mon ordinateur

[lohiva]

Bonjour à tous,

 

Je suis relié à internet par adsl depuis janvier 2005.

 

Nouveau jouet..., j'ai naturellement visité des sites de nature les plus diverses sans me soucier d'éventuelles conséquences.

 

Hier soir, j'ai voulu consulter ma situation bancaire via PC banking et il me fut impossible d'obtenir la connection.

 

En démarant internet, j'ai eu, et j'ai toujours, un message en englais qui m'a donné des sueurs froides: privacy violation detected (502 EPA warming) En quelques minutes, j'ai eu l'impression d'avoir été considéré comme étant un grand satire !

En tapant les 3 mots du message su google, je suis arrivé sur votre site.

 

L'analyse antivirus norton me donne 1 virus détecté.

Une ananalyse faite au départ de votre site me donne 2 virus, 6 logiciels espions dont 1 malveillant et 4 numéroteurs.

J'ai noté les emplacements des fichiers ou programmes infectés.

 

Je suis complètement nul pour arriver à les supprimer.

 

Quelqu'un pourrait-il m'aider pas à pas ?

Je crois que j'ai aussi besoin de sérieux conseils pour éviter une catastrophe qui pourrait venir d'internet.

 

J'espère que je pourrai avoir entièrement confiance en quelqu'un.

 

Un grand merçi et à bientôt.

[gayboyfr]

telecharge ad-aware et spybot sur ce site et fais les touner pour virer tes logiciels espions et numeroteurs. fais egalement tourner norton pour te debarasser des virus. as-tu pense a effectuer les mises a jour de windows via windows update pour securiser un peu ton systeme ? et cesse de frequenter des sites cochons !

[Le canard]

salut à toi

 

- premièrement avant d'aller sur le net tu dois protéger ton ordi pour cela il faut utiliser un vrai navigateur : firefox 1.07 dispo sur le site , un pare feu (firewall) en gratuit tu as zone alarme ou kerio aussi dispo sur le site avec leurs tutoriaux si tu n'y comprends rien , un anti virus performant en gratuit avast ou antivir , et des logiciels anti espion comme spybot search and destroy, ad aware, spyware blaster , microsoft anti spyware. Voilà de bonnes choses de faites pour ta sécurité

 

-deuxièment évites le plus possible d'utiliser ta carte bancaire sur internet

 

pour finir avec tes infections attends les pros de la sécurité made in zébulon parce que je ne m'y connait pas beaucoup

 

a +

[lohiva]

Bonjour à tous,

 

Je suis relié à internet par adsl depuis janvier 2005.

 

Nouveau jouet..., j'ai naturellement visité des sites de nature les plus diverses sans me soucier d'éventuelles conséquences.

 

Hier soir, j'ai voulu consulter ma situation bancaire via PC banking et il me fut impossible d'obtenir la connection.

 

En démarant internet, j'ai eu, et j'ai toujours, un message en englais qui m'a donné des sueurs froides: privacy violation detected (502 EPA warming) En quelques minutes, j'ai eu l'impression d'avoir été considéré comme étant un grand satire !

En tapant les 3 mots du message su google, je suis arrivé sur votre site.

 

L'analyse antivirus norton me donne 1 virus détecté.

Une ananalyse faite au départ de votre site me donne 2 virus, 6 logiciels espions dont 1 malveillant et 4 numéroteurs.

J'ai noté les emplacements des fichiers ou programmes infectés.

 

Je suis complètement nul pour arriver à les supprimer.

 

Quelqu'un pourrait-il m'aider pas à pas ?

Je crois que j'ai aussi besoin de sérieux conseils pour éviter une catastrophe qui pourrait venir d'internet.

 

J'espère que je pourrai avoir entièrement confiance en quelqu'un.

 

Un grand merçi et à bientôt.

577441[/snapback]

[ipl_001]

Bonsoir lohiva, gayboyfr, Le canard, bonsoir à tous,

 

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

 

S'il te plaît, applique la procédure "Pré-Nettoyage d'un PC infecté" -> http://forum.zebulon.fr/index.php?showtopic=69176

 

Lorsque tu auras posté le rapport HijackThis qui en résulte, nous l'analyserons et te dirons que faire !

[ipl_001]

Rebonsoir Le canard,

salut à toi 

 

- premièrement avant d'aller sur le net tu dois protéger ton ordi...

Tu n'as pas tort dans ce que tu as posté mais "le mal est fait"... la priorité numéro 1 est de désinfecter !

 

Lorsqu'un système est infecté, il est classique que l'antivirus et autres défenses soient sous le contrôle d'un malware : nettoyer le système !

[Le canard]

salut tout le monde

 

c'est vrai une fois un PC infecté il est rarement possible d'installer des anti virus ou autres et encore moins de les utiliser , je me souviens de mes premiers pas sur le net sans protections plus tard j'avais essayer d'en installer mais là grosse surprise kapersky se détectait lui même en tant que trojan

 

alors

 

a +

Modifié le 25 septembre 2005 par Le canard

[lohiva]

Bonsoir lohiva, gayboyfr, Le canard, bonsoir à tous,

 

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

 

S'il te plaît, applique la procédure "Pré-Nettoyage d'un PC infecté" -> http://forum.zebulon.fr/index.php?showtopic=69176

 

Lorsque tu auras posté le rapport HijackThis qui en résulte, nous l'analyserons et te dirons que faire !

577654[/snapback]

 

Bonjour ipl_001,

 

Merçi pour ton aide.

J'ai suivi tes instrutions et j'espère que j'ai fait le travail correctement.

Il m'a fallu asez de temps pour m'y retrouver.

Le rapport est ci-dessous.

En écrivant ces mots, je me rends compte que j'ai 2 disques durs (C et E)

Le E n'a peut-être pas été analysé ?

 

S'il le faut, je suis prêt à recommencer la procédure.

 

Je suis imatient de connaitre les premiers résultats.

A bientôt.

 

 

Logfile of HijackThis v1.99.1

Scan saved at 21:05:20, on 25/09/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX0s.l00\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SponsorAdulto Class - {511F9316-771B-4953-A268-1C36DA667FE9} - C:\WINDOWS\Downloaded Program Files\sponsoradulto.dll (file missing)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\USB ADSL\CnxDslTb.exe"

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [ClamWin] "C:\Program Files\ClamWin\bin\ClamTray.exe" --logon

O4 - HKLM\..\Run: [bO1HelperStartUp] C:\Program Files\Butterfly Oasis Screensaver\BO1Helper.exe /partner BO1

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Window Washer] C:\Program Files\Webroot\Washer\wwDisp.exe

O4 - Startup: Event Reminder.lnk = C:\pmw\PMREMIND.EXE

O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {511F9316-771B-4953-A268-1C36DA667FE9} (SponsorAdulto Class) - http://ip.sponsoradulto.com/cab/3/fr/SysWebTelecomInt.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: Washer Security Access (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\system32\wwSecure.exe

[ipl_001]

Rebonsoir lohiva, rebonsoir à tous,

 

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX0s.l00\HijackThis.exe

Veux-tu bien déplacer le programme HijackThis dans un répertoire quelconque mais pas un dossier de fichiers temporaires car en cas de nettoyage du disque, il va passer à la poubelle et les fichiers de sauvegarde qu'il crée également !

Je te conseille de le dézipper dans un répertoire du genre C:\Program File\HJT

Il n'y a, à première vue, pas grand chose de méchant !

 

Je démarre une analyse de ton rapport HijackThis... réponse d'ici 10-15 minutes !

[ipl_001]

Rebonsoir lohiva, rebonsoir à tous,

 

Bo1helper.exe

ScreenScenes Butterfly_Oasis screen saver. The freeware version comes with GAIN branded ads (pop-ups and others). ScreenScenes do however offer you the option of doing away with the ads by purchasing the screensaver for a whopping $ 30...

Je ne vois pas Gain, donc je laisse !

 

Imprime ou sauvegarde ces instructions dans un fichier .txt de manière à pourvoir le consulter en mode sans échec.

 

Télécharge et installe EasyCleaner de Toni Helenius ( http://personal.inet.fi/business/toniarts/ecleane.htm )

 

 

 

Redémarre l'ordinateur en mode sans échec.

 

Désinstalle ces applications (si tu trouves) dans Ajout-Suppression de programmes :

--- Je vois 2 antivirus dans le rapport HJT, j'espère que tu en as désinstallé un, depuis !

 

Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

 

O2 - BHO: SponsorAdulto Class - {511F9316-771B-4953-A268-1C36DA667FE9} - C:\WINDOWS\Downloaded Program Files\sponsoradulto.dll (file missing)

 

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {511F9316-771B-4953-A268-1C36DA667FE9} (SponsorAdulto Class) - http://ip.sponsoradulto.com/cab/3/fr/SysWebTelecomInt.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

 

Qu'en est-il de dysfonctionnements éventuels ?